If they don't match, the request should be blocked to prevent a CSRF attack.
Stimmen sie nicht überein, soll die Request geblockt werden, um eine CSRF-Attacke zu verhindern.
The components involved in a CSRF attack are
Die involvierten Komponenten einer CSRF-Attacke sind die Folgenden
With no way of telling whether a request was triggered by legitimate user input or a CSRF attack, the web application changes the user's password to 123abc.
Die Web-Applikation hat keine Möglichkeit zu unterscheiden, ob eine Request durch eine echte Benutzereingabe oder eine CSRF-Attacke ausgelöst wurde und ändert das Passwort des Benutzers auf 123abc.
Nonetheless, a CSRF attack should be taken seriously, precisely because it is not excessively complex and there are no major requirements of an attacker profile for carrying out these attacks in a simple form.
Trotzdem sollte eine CSRF-Attacke ernstgenommen werden, da sich ihre Komplexität doch in Grenzen hält und das Angreifer-Profil zur Durchführung dieser Attacken in einer einfachen Form keine hohen Anforderungen stellt.
In a CSRF attack, the end-user is tricked into clicking a link that performs an action in a web application where the end-user is still authenticated.
Bei einem CSRF-Angriff wird der Endbenutzer zum Klicken auf einen Link verleitet, durch den eine Aktion in einer Webanwendung ausgelöst wird, bei der der Endbenutzer bereits authentifiziert ist.
Protects against a CSRF attack.
A CSRF Attack may trick the user's web browser to perform an unwanted action.
Ein solcher Angriff trickst den Browser des Benutzers aus, um weitere Aktionen durchzuführen.
With a CSRF attack, the attacker causes actions to be carried out in a web application in the name of an authorized user.
Mit einer CSRF-Attacke lassen sich als Angreifer Aktionen in einer Web-Applikation im Namen eines autorisierten Benutzers ausführen.
The token changes each time a page is requested, which means an attacker would have to guess the current token to successfully perform a CSRF attack.
Es ändert seinen Wert nach jeder HTTP-Anfrage, sodass ein Angreifer das korrekte Token erraten müsste, um einen CSRF-Angriff durchzuführen.
Note that use of the session cookie should be seen as a characteristic of the CSRF attack, otherwise known as session riding.
Es ist zu beachten, dass das Nutzen des Session Cookies als eine Ausprägung der CSRF-Attacke zu sehen ist, was Session-Riding genannt wird.
Things get far more critical when a CSRF attack is used, say, to make payments with online banking, or to create privileged users in a management console of a resource in order to then carry out further attacks or manipulations.
Weitaus kritischer wird es wenn über eine CSRF-Attacke zum Beispiel Zahlungen in Online-Banking ausgelöst werden können oder auch das Erstellen von privilegierteren Benutzer in einer Management-Konsole einer Ressource, um darauf basierend weiter Attacken oder Manipulationen auszuführen.
A well-planned CSRF attack, complete with an effective social engineering campaign, can cause major damage - perhaps in the form of a privilege escalation as a key intermediary stage for a multi-stage attack.
Durch eine saubere Planung inklusive einer wirksamen Social Engineering-Kampagne, können CSRF-Attacken großen Schaden anrichten. Z.B. in Form einer Privilege Eskalation, als wichtiger Zwischenschritt, einer mehrstufigen Attacke.
A CSRF attack forces a logged-on victim's browser to send a forged HTTP request, including the victim's session cookie and any other automatically included authentication information, to a vulnerable web application.
Ein CSRF-Angriff bringt den Browser eines angemeldeten Benutzers dazu, einen manipulierten HTTP- Request an die verwundbare Anwendung zu senden. Session Cookies und andere Authentifizierungsinformationen werden dabei automatisch vom Browser mitgesendet.